CN116707782A - 密码批量自动化更改方法、装置、电子设备及存储介质 - Google Patents
密码批量自动化更改方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116707782A CN116707782A CN202310660553.9A CN202310660553A CN116707782A CN 116707782 A CN116707782 A CN 116707782A CN 202310660553 A CN202310660553 A CN 202310660553A CN 116707782 A CN116707782 A CN 116707782A
- Authority
- CN
- China
- Prior art keywords
- password
- data
- decryption
- target machine
- initial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 238000003032 molecular docking Methods 0.000 claims abstract description 31
- 238000012986 modification Methods 0.000 claims abstract description 27
- 230000004048 modification Effects 0.000 claims abstract description 27
- 230000008569 process Effects 0.000 claims abstract description 21
- 230000008859 change Effects 0.000 claims description 40
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 13
- 230000000737 periodic effect Effects 0.000 claims description 6
- 238000002715 modification method Methods 0.000 claims description 5
- 238000009434 installation Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种密码批量自动化更改方法、装置、电子设备及存储介质。该密码批量自动化更改方法,包括:提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据,基于所述初始化数据配置改密规则以及改密过程中用到的改密数据,根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作。本申请实施例提供的密码批量自动化更改方法,实现了对密码的自动化批量更改,大大减少了人工工作量,降低了密码泄漏风险,提高了流程自动化程度。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种密码批量自动化更改方法、装置、电子设备及存储介质。
背景技术
随着近年来互联网以及人工智能和数据产业的快速发展,各种各样的数据越来越多,数据中心变得越来越重要。数据中心由无数的计算机设备组成,用于存储、传输、交互和管理数据。但是数据量越来越大,所需要的硬件设备就越来越多,这给数据中心的运维人员在设备管理工作上带来了巨大的工作量,同时也对数据本身的安全带来了很大风险。数据中心最重要的是数据,而数据全部是存储在服务器上的,所以服务器的登陆管控就非常重要,而相关技术中的服务器登录有两种方式,一种是输入用户名加密码的方式,另一种是通过上传密钥的方式登录,而使用密钥登录不常用,原因是想要连接哪台服务器,就需要先通过用户名加密码先登录上去然后生成密钥,之后在当前密码不改变的情况下,才能使用生成的密钥登录,要是密码改变的话,那就要重新登录再次重新生成新的密钥,然后使用新的密钥登录,而且对于用户名加密码方式登录的话因为需要使用明文密码,所以不安全。
相关技术的密码更改方法都仅考虑了密码更改本身,维度单一,需要人工操作,将密码明文交给管理员或者使用者,人工操作导致密码存在被泄露的风险,而且因为事先配置指定密码以及处理改密失败情况需要人工处理,导致整个流程自动化程度较低,以及无法适配多种密码更改失败情况。
上述的陈述仅用于提供与本申请有关的背景技术信息,而不必然地构成现有技术。
发明内容
本申请的目的是提供一种密码批量自动化更改方法、装置、电子设备及存储介质,以改善相关技术中存在的以下状况:相关技术的密码更改方法都仅考虑了密码更改本身,维度单一,需要人工操作,将密码明文交给管理员或者使用者,人工操作导致密码存在被泄露的风险,而且因为事先配置指定密码以及处理改密失败情况需要人工处理,导致整个流程自动化程度较低,以及无法适配多种密码更改失败情况。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
根据本申请实施例的一个方面,提供一种密码批量自动化更改方法,包括:
提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据;
基于所述初始化数据配置改密规则以及改密过程中用到的改密数据;
根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作。
在本申请的一些实施例中,所述根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作,包括:
利用Ansible根据所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,生成改密任务;
根据所述改密规则调用所述Ansible的command模块和raw模块执行所述改密任务。
在本申请的一些实施例中,所述方法还包括:
在对目标机器执行批量密码更改操作之前,配置对接业务系统所需要的对接数据;
在执行批量密码更改操作完成后,验证密码更改操作结果;
为验证结果为更改成功的账户生成密钥;
根据所述对接数据对接所述业务系统,调用Ansible将所述密钥上传到所述业务系统。
在本申请的一些实施例中,所述方法还包括:
针对验证结果为更改失败的账户,查询更改失败原因;
在查询到更改失败原因的情况下,发出告警。
在本申请的一些实施例中,所述查询更改失败原因包括:查询网络是否联通、特权账户是否存在、被管账户是否存在、特权账户是否有权限以及目标机器安装环境是否准确。
在本申请的一些实施例中,所述改密规则包括:密码修改时间设定方式、目标密码的格式、改密结果是否推送业务系统以及是否验证改密结果。
在本申请的一些实施例中,所述改密数据包括定期改密数据、周期性改密数据、单独改密数据、批量改密数据、随机密码和指定密码。
根据本申请实施例的另一个方面,提供一种密码批量自动化更改装置,包括:
初始化模块,用于提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据;
配置模块,用于基于所述初始化数据配置改密规则以及改密过程中用到的改密数据;
控制器模块,用于根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作。
根据本申请实施例的另一个方面,提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序,以实现本申请任一实施例所述的密码批量自动化更改方法。
根据本申请实施例的另一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行,以实现本申请任一实施例所述的密码批量自动化更改方法。
本申请实施例的其中一个方面提供的技术方案可以包括以下有益效果:
本申请实施例提供的密码批量自动化更改方法,提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据,基于所述初始化数据配置改密规则以及改密过程中用到的改密数据,根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作,实现了对密码的自动化批量更改,大大减少了人工工作量,降低了密码泄漏风险,提高了流程自动化程度,改善了相关技术中存在的以下状况:相关技术的密码更改方法都仅考虑了密码更改本身,维度单一,需要人工操作,将密码明文交给管理员或者使用者,人工操作导致密码存在被泄露的风险,而且因为事先配置指定密码以及处理改密失败情况需要人工处理,导致整个流程自动化程度较低,以及无法适配多种密码更改失败情况。
上述说明仅是本申请实施例技术方案的概述,为了能够更清楚了解本申请的实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本申请实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请一个实施例的密码批量自动化更改方法流程图。
图2示出了本申请一个实施例的密码批量自动化更改装置结构框图。
图3示出了本申请另一个实施例的密码批量自动化更改装置结构框图。
图4示出了本申请一个实施例的控制器模块执行改密操作的过程流程图。
图5示出了本申请一个实施例的电子设备结构框图。
图6示出了本申请一个实施例的计算机可读存储介质示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,下面结合附图和具体实施例对本申请做进一步说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
使用相关技术的管理方式对数据中心内的服务器硬件设备进行登录管控时,是采用手工的方式,通过服务器列表进行一个个对照修改并直接操作服务器资源或者使用脚本专门做密码修改,再把修改后的新密码记录下来,很麻烦而且不及时更新就完全混乱和忘记了,现在管控越来越多的服务器时,管理方式也越来越多,比较主流的是使用集中管理平台进行管控,集中管理平台可以理解为是一个堡垒机,它可以管控很多服务器,但它不是专门管控登录的,它是用来操作很多服务器的,比如通过堡垒机运维服务器,对服务器进行审计等等,但无论哪种集中管理平台,对于登录密码更改这部分内容目前大多都需要对密码进行事先配置,集中密码更改,或者采用随机密码更改然后通过邮件或者其他方式发送给管理人员。
这两种类型的方法对于密码管理这项任务都只考虑了密码更改本身,维度单一,也就是只负责改,接收到新密码即改新密码,而不管是否改成功,也不管密钥生成,不会主动去改密码,而且依然存在将密码明文交给管理员或者使用者,将接收到的配置的新密码直接给目标人员,导致密码存在被泄露的风险,而且因事先配置指定密码,再通过人工进行改密,并不做多错误的处理,有错误直接返回给用户或者直接修改失败了,而且也不与业务系统进行结合,就是改完密码后需要把新密码给别人,然后再由人来拿着新的密码进行工作,既不安全也无法脱离人工。
Ansible是一种自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。Ansible架构相对比较简单,仅需通过SSH连接客户机执行任务即可。
密钥方式登录服务器:一般使用客户端来远程管理Linux服务器。但是,一般的密码方式登录,容易有密码被暴力破解的问题。所以,一般会将SSH的端口设置为默认的22以外的端口,或者禁用root账户登录。通过密钥方式登录能够更好地保证安全,而且让用户可以放心地用root账户从远程登录。
针对相关技术中存在的问题,参考图1所示,本申请实施例提供了一种密码批量自动化更改方法,可以包括步骤S10至S30:
S10、提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据。
IP地址(Internet Protocol Address)是指互联网协议地址,又译为网际协议地址。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。目标机器例如可以是待改密的计算机设备(例如主机或服务器)等电子设备。
示例性地,可以通过初始化模块提供改密操作所需要的初始化数据以及密码相关数据,并将该初始化数据存入数据库表,将密码相关数据全部存入密码机中。其中,初始化数据包括但不限于待改密码服务器的IP地址、特权账户用户名、特权账户密码、改密账户用户名和改密账户密码。改密操作所需要的数据,包括但不限于目标机器的IP地址、目标机器的管理账户用户名、密码、被管账户的用户名和密码。
初始化模块能够提供一套预置模板,该预置模板可以用于填写IP地址、用户名和密码,另外也可以支持从业务系统通过API对接的方式来将业务系统中的IP地址、用户名和密码导入进来。导入进来的数据存储到数据库模块中,数据库模块用来存储改密系统运行过程中的所有信息,初始化模块初始化的用户名存储在数据库中,对应的密码存储在密码机中。
S20、基于所述初始化数据配置改密规则以及改密过程中用到的改密数据。
在一些实施例中,改密规则包括:密码修改时间设定方式、目标密码的格式、改密结果是否推送业务系统以及是否验证改密结果。
具体地,改密规则包括但不限于:
密码修改时间设定方式:定期修改密码,或者按周期轮询修改密码;
目标密码的格式:修改成指定的明文密码,或者修改为随机密码;随机密码是任何人都不知道的密码;
改密结果是否推送业务系统:改密完成后是否将改密后的结果推送到业务系统供使用;
是否验证改密结果:若是,则利用改密后的密码进行登录验证;若否,则不验证改密结果。
S30、根据改密规则、目标机器IP地址、初始用户名数据、初始密码数据、改密数据和对接数据,对目标机器执行批量密码更改操作。
在一些实施例中,根据改密规则、目标机器IP地址、初始用户名数据、初始密码数据、改密数据和对接数据,对目标机器执行批量密码更改操作,包括:利用Ansible根据目标机器IP地址、初始用户名数据、初始密码数据、改密数据和对接数据,生成改密任务;根据改密规则调用Ansible的command模块和raw模块执行改密任务。
在一些实施例中,该密码批量自动化更改方法还可以包括:在对目标机器执行批量密码更改操作之前,配置对接业务系统所需要的对接数据;在执行批量密码更改操作完成后,验证密码更改操作结果;为验证结果为更改成功的账户生成密钥;根据所述对接数据对接所述业务系统,调用Ansible将所述密钥上传到所述业务系统,从而能够实现通过控制器模块在对目标机器改密的同时在目标机器上对改密成功的账户生成一个密钥并保存,这个密钥是以后所有对这台机器的操作的钥匙。控制器模块能够将该密钥上传到业务系统中,以后业务系统对这台目标机器进行的所有操作都不用账户名加密码的方式,全部都用密钥,新密码会被保存到密码机中。
在一些实施例中,该密码批量自动化更改方法还可以包括:针对验证结果为更改失败的账户,查询更改失败原因;在查询到更改失败原因的情况下,发出告警。查询更改失败原因,能够对目标机器改密失败的情况进行自动化检查和处理操作,对于检查出的内容中可以自动修复的错误项进行排查和修复,对于无法自动修复的未知内容进行告警,以提醒人工处理。
在一些实施例中,查询更改失败原因包括:查询网络是否联通、特权账户是否存在、被管账户是否存在、特权账户是否有权限以及目标机器安装环境是否准确。
在一些实施例中,改密数据包括定期改密数据、周期性改密数据、单独改密数据、批量改密数据、随机密码和指定密码。
本申请实施例提供的密码批量自动化更改方法,实现了对密码的自动化批量更改,大大减少了人工工作量,降低了密码泄漏风险,提高了流程自动化程度。
参考图2所示,本申请的另一个实施例提供了一种密码批量自动化更改装置,可以包括:
初始化模块,用于提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据;
配置模块,用于基于所述初始化数据配置改密规则以及改密过程中用到的改密数据;
控制器模块,用于根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作。
在一些实施例中,控制器模块可以包括:
改密任务生成单元,用于利用Ansible根据所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,生成改密任务;
改密任务执行单元,用于根据所述改密规则调用所述Ansible的command模块和raw模块执行所述改密任务。
在一些实施例中,配置模块还用于在对目标机器执行批量密码更改操作之前,配置对接业务系统所需要的对接数据;
该装置还可以包括:
验证模块,用于在执行批量密码更改操作完成后,验证密码更改操作结果;
密钥生成模块,用于为验证结果为更改成功的账户生成密钥;
密钥上传模块,用于根据所述对接数据对接所述业务系统,调用Ansible将所述密钥上传到所述业务系统。
在一些实施例中,该装置还可以包括:
查询模块,用于针对验证结果为更改失败的账户,查询更改失败原因;
告警模块,用于在查询到更改失败原因的情况下,发出告警。
在一些实施例中,查询模块所执行的查询更改失败原因包括:查询网络是否联通、特权账户是否存在、被管账户是否存在、特权账户是否有权限以及目标机器安装环境是否准确。
在一些实施例中,改密规则包括:密码修改时间设定方式、目标密码的格式、改密结果是否推送业务系统以及是否验证改密结果。
在一些实施例中,改密数据包括定期改密数据、周期性改密数据、单独改密数据、批量改密数据、随机密码和指定密码。
本申请实施例提供的密码批量自动化更改装置,能够提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据,基于所述初始化数据配置改密规则以及改密过程中用到的改密数据,根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作,实现了对密码的自动化批量更改,大大减少了人工工作量,降低了密码泄漏风险,提高了流程自动化程度。
本申请的另一个实施例提供了一种基于Ansible的密码批量自动化更改方法,通过密码批量自动化更改装置实现,参考图3所示,密码批量自动化更改装置包括初始化模块、配置模块、数据库模块、控制器模块和密码机。
初始化模块用于提供改密操作所需要的初始化数据以及密码相关数据,并将该初始化数据存入数据库表,将密码相关数据全部存入密码机中。其中,初始化数据包括但不限于待改密码服务器的IP地址、特权账户用户名、特权账户密码、改密账户用户名和改密账户密码。
初始化模块用于提供改密操作所需要的数据。改密操作所需要的数据,包括但不限于目标机器的IP地址、目标机器的管理账户用户名、密码、被管账户的用户名和密码。
初始化模块能够提供一套预置模板,该预置模板可以用于填写IP地址、用户名和密码,另外也可以支持从业务系统通过API对接的方式来将业务系统中的IP地址、用户名和密码导入进来。导入进来的数据存储到数据库模块中,数据库模块用来存储改密系统运行过程中的所有信息,初始化模块初始化的用户名存储在数据库中,对应的密码存储在密码机中。
数据库模块用于存储改密系统运行过程中的相关数据信息,该相关数据信息包括但不限于初始化数据、账户信息、配置表信息、改密目标服务器IP地址和用户名等数据信息。
密码机用于存储密码相关的数据。
配置模块用于配置改密过程中用到的改密数据,并在对接业务系统时提供对接数据,对接数据包括加解密密码和密钥。改密数据包括但不限于定期改密数据、周期性改密数据、单独改密数据、批量改密数据、随机密码和指定密码。
控制器模块,控制器模块用于控制初始化模块、配置模块、数据库模块和密码机,以及调度整个系统所有模块相互协作。
改密的过程可以包括:获取待改密服务器的IP地址、待改密服务器的管理账户以及待改密服务器的被管理账户。
待改密服务器的管理账户用于操作改密的指令,因为只有特权账户这样的管理账户才可以有权利更改任何账户的密码,普通账户无权限操作更改其他账户密码的指令,而且还需要一个被管理账户,也就是待改密服务器的目标账户,待改密服务器的管理账户修改指定的被管理账户。
初始化模块包括内置的资源信息管理模板,以实际生产中对接业务系统时所需要的资源信息作为模板,将资源信息存入数据库,将密码存入密码机。资源信息包括但不限于资源用户、资源地址、资源初始用户名和预留字段等信息。
初始化模块还包括资源信息导入导出API接口,支持信息同步,可以通过此接口从业务系统的信息表中导入相关资源的地址、当前用户名和密码等信息,使得其有更高的兼容性,用于业务系统与本系统同步信息。
数据库模块包括数据库表,用于存储初始化数据、配置表信息、结果表信息和用户管理信息等,提供数据存储功能。
当获得初始化数据后,基于初始化数据配置改密规则,改密规则包括但不限于:1)密码修改时间设定方式:定期修改密码;按周期轮询修改密码;2)目标密码的格式:修改成指定的明文密码;修改为随机密码;随机密码是任何人都不知道的密码。3)改密结果是否推送业务系统:改密完成后是否将改密后的结果推送到业务系统供使用。4)是否验证改密结果:若是,则利用改密后的密码进行登录验证;若否,则不进行登录验证。
采用前后端分离的方式,引用Tab页,将上述内容作为配置项,接口采用rustful规范,完成配置。
配置完成后,通过控制器模块执行改密操作。
参考图4所示,控制器模块执行改密操作的过程包括以下步骤:
使用ping命令和telnet命令检查改密系统服务器与待改密的目标机器之间的网络是否通畅,再检查改密系统服务器上的资源是否足够,资源包括但不限于进程状态、磁盘存储和内存占用;
检查待改密目标机器上的python环境和bash脚本环境,如果没有对应的环境,那么改密系统服务器通过初始化的资源信息给目标机器自动安装对应的环境;
根据配置的密码是否是明文和随机密码来生成新的密码,将新的密码保存在密码机中,然后控制器模块调用Ansible生成改密任务,控制器模块调用Ansible的command模块和raw模块来执行改密任务;
当改密任务执行完成后,Ansible搜集执行结果数据,并将执行结果数据保存到数据库中,
根据配置模块配置的验证信息对执行结果数据进行验证,然后控制器模块会调用Ansible在目标机器上对改密成功的账户生成一个密钥,这个密钥是以后所有对这台目标机器进行操作的钥匙,并且控制器模块会调用Ansible将该密钥传到业务系统中,以后业务系统对这台目标机器执行的所有操作都不用账户名加密码的方式,全部都用密钥,新密码会被保存到密码机中;
通过初始化模块提供的API接口提供对外查询新密码的功能,但是不会直接提供明文,是密文的方式提供,在需要的时候,业务系统或管理人员可以通过接口查询到密码。
控制器模块会对执行失败的任务进行排查,先排查是否是网络问题,如果是网络问题,那么会通过ping、telnet命令查询网络是否联通,如果网络不通那么会隔预设时长(例如5秒、10秒、15秒等)后重试,若连续预设数目次(例如3次、4次或5次等)都出现网络不通,则进行告警,报告给管理人员或者执行业务系统告警;
如果网络通畅,则对失败原因进行详查;确定特权账户是否存在,若不存在则进行告警,以提醒人工介入处理;确定被管账户是否存在,若不存在则进行告警,以提醒人工介入处理;确定特权账户是否有权限,若无权限则进行告警,以提醒人工介入处理。
检测目标机器是否有python和shell环境,是否为bash环境,如果没有python环境则为其安装python环境,如果不是bash环境则设置shell环境为bash环境。
本申请实施例能够实现将业务系统中的管理密码部分抽离出来进行扩展并自动化,实现了无需频繁配置明文密码,只需要在初始化时输入要改密码的目标服务器相关信息,这样相当于采用全面托管方式,只要输入了初始信息后,后面工作全都系统来做,不用再次配置明文密码,以后要是想改新的密码就配置密码修改策略就行,然后点击手动或自动更改就行,还支持与业务系统对接,同时提高了密码的安全性,在密码更改的同时更新密钥,对接业务系统使用时可选择密钥对接,或者加解密密码方式进行对接,使得业务系统无需记录密码即可正常工作,同时生成的密钥保证了当系统意外情况发生时还可以有途径获得正常工作凭证。
本申请实施例提供了更自动化的方式,考虑到了更多异常情况的发生导致密码更改失败的处理办法,减少人工参与的成本,增加了密码更改成功率:在改密整个流程中进行失败的错误处理,对尽可能多的错误进行逐一排查和处理,优化了对很多可以处理的错误进行自动化处理。
本申请另一个实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序,以实现上述任一实施方式所述的方法。
参考图5所示,电子设备10可以包括:处理器100,存储器101,总线102和通信接口103,处理器100、通信接口103和存储器101通过总线102连接;存储器101中存储有可在处理器100上运行的计算机程序,处理器100运行该计算机程序时执行本申请前述任一实施方式所提供的方法。
其中,存储器101可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还可以包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该装置网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线102可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。其中,存储器101用于存储程序,处理器100在接收到执行指令后,执行该程序,前述本申请实施例任一实施方式揭示的方法可以应用于处理器100中,或者由处理器100实现。
处理器100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器100可以是通用处理器,可以包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器101,处理器100读取存储器101中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请另一个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行,以实现上述任一实施方式所述的方法。参考图6所示,其示出的计算机可读存储介质为光盘20,其上存储有计算机程序(即程序产品),该计算机程序在被处理器运行时,会执行前述任意实施方式所提供的方法。
需要说明的是,计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
术语“模块”并非意图受限于特定物理形式。取决于具体应用,模块可以实现为硬件、固件、软件和/或其组合。此外,不同的模块可以共享公共组件或甚至由相同组件实现。不同模块之间可以存在或不存在清楚的界限。
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示例一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上实施例仅表达了本申请的实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种密码批量自动化更改方法,其特征在于,包括:
提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据;
基于所述初始化数据配置改密规则以及改密过程中用到的改密数据;
根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作。
2.根据权利要求1所述的方法,其特征在于,所述根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作,包括:
利用Ansible根据所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,生成改密任务;
根据所述改密规则调用所述Ansible的command模块和raw模块执行所述改密任务。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在对目标机器执行批量密码更改操作之前,配置对接业务系统所需要的对接数据;
在执行批量密码更改操作完成后,验证密码更改操作结果;
为验证结果为更改成功的账户生成密钥;
根据所述对接数据对接所述业务系统,调用Ansible将所述密钥上传到所述业务系统。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
针对验证结果为更改失败的账户,查询更改失败原因;
在查询到更改失败原因的情况下,发出告警。
5.根据权利要求1所述的方法,其特征在于,所述查询更改失败原因包括:查询网络是否联通、特权账户是否存在、被管账户是否存在、特权账户是否有权限以及目标机器安装环境是否准确。
6.根据权利要求1所述的方法,其特征在于,所述改密规则包括:密码修改时间设定方式、目标密码的格式、改密结果是否推送业务系统以及是否验证改密结果。
7.根据权利要求1所述的方法,其特征在于,所述改密数据包括定期改密数据、周期性改密数据、单独改密数据、批量改密数据、随机密码和指定密码。
8.一种密码批量自动化更改装置,其特征在于,包括:
初始化模块,用于提供改密操作所需要的目标机器IP地址、初始用户名数据和初始密码数据;
配置模块,用于基于所述初始化数据配置改密规则以及改密过程中用到的改密数据;
控制器模块,用于根据所述改密规则、所述目标机器IP地址、所述初始用户名数据、所述初始密码数据、所述改密数据和所述对接数据,对目标机器执行批量密码更改操作。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序,以实现如权利要求1-7中任一项所述的密码批量自动化更改方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行,以实现如权利要求1-7中任一项所述的密码批量自动化更改方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310660553.9A CN116707782A (zh) | 2023-06-06 | 2023-06-06 | 密码批量自动化更改方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310660553.9A CN116707782A (zh) | 2023-06-06 | 2023-06-06 | 密码批量自动化更改方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116707782A true CN116707782A (zh) | 2023-09-05 |
Family
ID=87838657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310660553.9A Pending CN116707782A (zh) | 2023-06-06 | 2023-06-06 | 密码批量自动化更改方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116707782A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117478326A (zh) * | 2023-12-28 | 2024-01-30 | 深圳万物安全科技有限公司 | 密钥托管方法、装置、终端设备以及存储介质 |
-
2023
- 2023-06-06 CN CN202310660553.9A patent/CN116707782A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117478326A (zh) * | 2023-12-28 | 2024-01-30 | 深圳万物安全科技有限公司 | 密钥托管方法、装置、终端设备以及存储介质 |
CN117478326B (zh) * | 2023-12-28 | 2024-04-09 | 深圳万物安全科技有限公司 | 密钥托管方法、装置、终端设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3619888B1 (en) | Automated certificate enrollment for devices in industrial control systems or other systems | |
EP3275123B1 (en) | Goal-driven provisioning in iot systems | |
EP2660750B1 (en) | System and method for securing controllers | |
EP2792104B1 (en) | Automated access, key, certificate, and credential management | |
US10075450B2 (en) | One time use password for temporary privilege escalation in a role-based access control (RBAC) system | |
US11271746B2 (en) | Component commissioning to IoT hub using permissioned blockchain | |
EP3036928B1 (en) | Mobile device authentication | |
US10244392B2 (en) | Over-the-air personalization of network devices | |
US11412047B2 (en) | Method and control system for controlling and/or monitoring devices | |
US9130923B2 (en) | Credential provider that encapsulates other credential providers | |
CN105577677A (zh) | 一种基于j2ee的远程登录方法及系统 | |
CN116707782A (zh) | 密码批量自动化更改方法、装置、电子设备及存储介质 | |
US20200313876A1 (en) | Mutually authenticated adaptive management interfaces for interaction with sensitive infrastructure | |
US11537732B2 (en) | Unlocking access of information responsive to validation of program codes of virtual entities | |
US11005709B2 (en) | Method and a system for the deterministic autoconfiguration of a device | |
EP3480722A1 (en) | Method and apparatus for editing, obtaining, and protecting process of solar cell production device | |
US20210065919A1 (en) | Method and control system for controlling and/or monitoring devices | |
EP3836507B1 (en) | Client connection emergency management method, client and computer readable storage medium | |
US20220182229A1 (en) | Protected protocol for industrial control systems that fits large organizations | |
US11693994B2 (en) | System and method for securing cache boards of an enterprise network data storage system | |
CN105763518A (zh) | 一种基于b/s架构的远程数据加密方法 | |
CN117997656B (zh) | 一种工控数据全生命周期安全管控系统 | |
CN117648685B (zh) | 服务器更新过程的校验方法、装置、设备及可读存储介质 | |
US20230093865A1 (en) | Control system, relay device, and access management program | |
US12021983B2 (en) | Disaggregated key management in a distributed system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |